Google Cloud menawarkan Identity and Access Management (IAM), yang memungkinkan Anda memberikan akses yang lebih terperinci ke resource Google Cloud tertentu dan mencegah akses yang tidak diinginkan ke resource lain. IAM memungkinkan Anda menerapkan prinsip keamanan dengan hak istimewa terendah, jadi Anda hanya memberikan akses yang diperlukan ke resource Anda.
Dengan IAM, Anda dapat mengontrol siapa (pengguna) yang memiliki akses (peran) ke resource tertentu dengan menetapkan kebijakan izin. Kebijakan izinkan memberikan peran tertentu kepada pengguna yang memberikan izin tertentu kepada pengguna.
Halaman ini menjelaskan peran IAM yang tersedia di tingkat Folder, dan cara membuat serta mengelola kebijakan izin untuk folder menggunakan Cloud Resource Manager API. Untuk mengetahui informasi selengkapnya, lihat Mengelola akses ke project, folder, dan organisasi.
Ringkasan peran IAM untuk Folder
Untuk membantu Anda mengonfigurasi peran IAM, tabel berikut mencantumkan:
- Jenis tindakan yang ingin Anda aktifkan
- Peran yang diperlukan untuk melakukan tindakan tersebut
- Tingkat resource tempat Anda perlu menerapkan peran tersebut
Jenis tindakan | Peran yang diperlukan | Tingkat resource |
---|---|---|
Mengelola folder di seluruh resource organisasi | Folder Admin | Resource organisasi |
Mengelola folder dan semua project serta folder yang ada di dalamnya | Folder Admin | Folder tertentu |
Mengakses dan mengelola kebijakan izinkan folder | Folder IAM Admin | Folder tertentu |
Membuat folder baru | Pembuat Folder | Resource induk untuk lokasi folder baru |
Memindahkan folder dan project | Pemindah Folder | Resource induk untuk lokasi folder asli dan lokasi folder baru |
Memindahkan project ke folder baru | Editor Project atau Pemilik Project | Resource induk untuk lokasi project asli dan lokasi project baru |
Menghapus folder | Editor Folder atau Admin Folder | Folder tertentu |
Praktik terbaik untuk menggunakan peran dan izin IAM dengan Folder
Saat menetapkan peran dan izin IAM untuk digunakan dengan Folder, perhatikan hal berikut:
- Gunakan grup jika memungkinkan untuk mengelola akun utama.
- Minimalkan penggunaan peran dasar, seperti pemilik, editor, dan pelihat. Sebagai gantinya, coba gunakan peran yang telah ditentukan sebelumnya untuk prinsip hak istimewa terendah.
- Untuk pengelolaan di seluruh folder, tetapkan izin di tingkat folder dan minta project mewarisinya secara otomatis. Misalnya, Anda dapat menetapkan peran Admin Folder pada folder untuk grup administrator departemen. Administrator jaringan yang memerlukan izin di seluruh departemen dapat memiliki peran Admin Jaringan untuk folder.
- Pertimbangkan dengan cermat izin yang mungkin berubah sebelum memindahkan resource dari folder. Jika tidak, Anda dapat berisiko merusak aplikasi atau alur kerja yang ada yang memerlukan izin tersebut pada resource tersebut.
- Rencanakan dan uji hierarki resource Anda dengan cermat sebelum memindahkan project produksi ke dalam folder. Salah satu caranya adalah dengan membuat folder pengujian di bawah resource organisasi Anda dan membuat prototipe hierarki yang diinginkan sebelumnya.
- Memberikan peran kepada pengguna di tingkat folder juga akan memberikan peran tersebut kepada pengguna untuk setiap resource di bawah folder tersebut. Misalnya, jika Anda memberi pengguna peran Admin Compute (
roles/compute.admin
) di folder, pengguna tersebut akan memiliki kontrol penuh atas semua resource Compute Engine di setiap project dalam folder tersebut.
Memahami peran dan izin folder
Peran default
Saat membuat folder, Anda akan diberi peran Admin Folder dan Editor Folder untuk folder tersebut guna memberi Anda kontrol penuh sebagai pembuat. Lihat di bawah untuk mengetahui izin yang diberikan oleh peran ini. Peran default ini dapat diubah seperti biasa dalam kebijakan izin.
Menggunakan peran bawaan
Peran | Izin |
---|---|
Folder Admin( Memberikan semua izin yang tersedia untuk bekerja dengan folder. Resource tingkat terendah tempat Anda dapat memberikan peran ini:
|
|
Folder IAM Admin( Memberikan izin untuk mengelola kebijakan izin pada folder. Resource tingkat terendah tempat Anda dapat memberikan peran ini:
|
|
Pembuat Folder( Memberikan izin yang diperlukan untuk menjelajahi hierarki dan membuat folder. Resource tingkat terendah tempat Anda dapat memberikan peran ini:
|
|
Editor Folder( Memberikan izin untuk mengubah folder serta melihat kebijakan izinkan folder. Resource tingkat terendah tempat Anda dapat memberikan peran ini:
|
|
Pemindah Folder( Memberikan izin untuk memindahkan project dan folder ke dalam dan ke luar organisasi atau folder induk. Resource tingkat terendah tempat Anda dapat memberikan peran ini:
|
|
Penampil Folder( Memberikan izin untuk mendapatkan folder dan mencantumkan folder dan project di bawah resource. Resource tingkat terendah tempat Anda dapat memberikan peran ini:
|
|
Membuat peran khusus
Selain peran bawaan yang dijelaskan dalam topik ini, Anda juga dapat membuat peran khusus yang merupakan kumpulan izin yang Anda sesuaikan dengan kebutuhan Anda. Saat membuat peran kustom untuk digunakan dengan Resource Manager, perhatikan poin-poin berikut:- Mencantumkan dan mendapatkan izin, seperti
resourcemanager.projects.get/list
, harus selalu diberikan sebagai pasangan. - Jika peran khusus Anda menyertakan izin
folders.list
danfolders.get
, peran tersebut juga harus menyertakanprojects.list
danprojects.get
. - Perlu diketahui bahwa izin
setIamPolicy
untuk resource organisasi, folder, dan project memungkinkan pengguna memberikan semua izin lainnya, sehingga harus ditetapkan dengan hati-hati.
Memberikan peran untuk mengaktifkan penjelajahan folder
Izin daftar memungkinkan penjelajahan folder. Dua jenis izin daftar yang biasanya perlu diberikan adalah resourcemanager.folders.list
, yang memungkinkan pengguna membuat daftar folder di bawah resource, dan resourcemanager.projects.list
, yang memungkinkan pengguna menjelajahi project di bawah resource organisasi atau folder. Administrator Organisasi diinisialisasi dengan kedua izin ini. Untuk
pengguna yang belum diberi peran Administrator Organisasi:
resourcemanager.folders.list
dapat diberikan melalui peran Pelihat Folder dan Editor Folder.resourcemanager.projects.list
dapat diberikan melalui peran Pelihat atau Browser.
Agar principal resource organisasi dapat menjelajahi seluruh hierarki resource organisasi, izin pencantuman harus diberikan di tingkat resource organisasi.
Memberikan peran untuk mengaktifkan pembuatan folder
Pengguna yang perlu membuat folder harus diberi peran Pembuat Folder pada resource dalam hierarki di atas level tempat folder akan dibuat. Sebaiknya berikan izin penjelajahan bersama dengan izin pembuatan folder agar pengguna dapat menavigasi secara efektif ke tempat folder akan dibuat dalam hierarki. Lihat bagian di atas untuk mengetahui informasi selengkapnya tentang izin penjelajahan.
Pembuat Folder tidak memberikan izin kepada pengguna untuk menghapus folder. Namun, saat seseorang membuat folder, orang tersebut akan otomatis diberi peran Editor Folder. Peran Editor Folder memungkinkan penghapusan folder.
Memberikan peran untuk mengaktifkan pemindahan folder
Untuk memindahkan folder dari satu resource induk ke resource induk lainnya, pengguna harus memiliki peran Pemindah Folder di resource induk lama dan baru, atau di leluhur yang sama.
Memberikan peran untuk mengaktifkan pemindahan project
Untuk memindahkan project ke dalam folder, pengguna harus memiliki peran Project Editor atau Project Owner di project dan Project Mover di resource induk sumber dan tujuan.
Hal ini sedikit berbeda dengan persyaratan untuk memindahkan project yang tidak dimiliki organisasi ke dalam resource organisasi, di mana pengguna harus memiliki peran Project Editor atau Project Owner di project dan peran Project Creator di resource organisasi.
Memberikan peran khusus folder untuk mengaktifkan pembuatan project
Untuk membuat project, pengguna harus memiliki peran Project Creator. Namun, daripada memberikan izin pembuatan project di seluruh organisasi, sebaiknya batasi pengguna agar hanya dapat melihat dan membuat project dalam folder tertentu.
Untuk memberikan izin khusus folder:
- Beri pengguna peran Organization Viewer di tingkat node org (misalnya, domain.com).
- Buat folder baru.
- Tambahkan pengguna ke IAM di tingkat folder dan berikan peran Pelihat Folder dan Pembuat Project kepada pengguna tersebut.
Hal ini memungkinkan pengguna membuat project di folder mereka tanpa memberikan visibilitas ke setiap project di resource organisasi yang lebih besar.